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Eine neue Generation von Sicherheitsrisiken 


Die Berichte der Sicherheitsexperten zeigen nicht 
nur, dass die Zahl der Hackerangriffe weiter steigt, 
sondern auch, dass die Kriminellen sich der neuen 
Techniken und Kommunikationsanwendungen wie 
Voice over IP und Instant Messenger sowie der 
mobilen Verbreitungswege bedienen. Dahinter steht 
eine florierende kriminelle Schattenwirtschaft. 


| n den letzten neun Monaten 
gab es immer wieder Berichte 
über Sicherheitsbedrohungen, 
die sich von denen vorheriger 
Jahre vollkommen unterschei- 
den. Dabei lässt sich ein Trend 
ausmachen: Hinter den Angrif- 
fen steht ein sich ausweitendes, 
offensichtlich profitables Gewer- 
be. Sein Geschäftsfeld sind 
sorgsam ausgearbeitete Angriffe 
auf Verbraucher, Unternehmen 
und öffentliche Einrichtungen. 
Hacker bedienen sich so 
schnell der neuen Technologien 
und Kommunikationsplattfor- 
men, dass bisher die Industrie 
mit ihren Gegenmaßnahmen 
immer einen Schritt hinterher 
zu sein scheint. Die klassische 
Firewall, die bis auf die gängi- 
gen Ports für die Standard- 
skripts alle anderen verschließt, 
hat laut Experten schon längst 
ausgedient. Auch eine umfang- 
reiche Schutzlösung im Stile 
von Unified Threat Manage- 
ment (UTM) könne nicht länger 
als „Wunderwaffe“ betrachtet 
werden, betonen die Fachleute. 
Die in Unternehmen häufig 
eingesetzten Kommunikations- 
anwendungen wie Instant Mes- 
saging (IM) oder VoIP bedürften 


zusätzlichen Schutzes, den klas- 
sische Sicherheits- und Antivi- 
renlösungen nicht immer bieten 
können, meinen Antivirenspezia- 
listen etlicher Hersteller. Rootkits 
beispielsweise bergen ein enor- 
mes Gefahrenpotenzial. Es han- 
delt sich dabei um kleine Pro- 
gramme, die Hacker einsetzen 
können, um Schadprogramme 
auf Kernel-Ebene in Rechnern zu 
verstecken. Die Angreifer nutzen 
häufig bereits bekannte Lücken 
in Betriebssystemen aus, die 
vom Unternehmen nicht ernst 
genommen werden. 

Eine neue Dimension hat die 
Ausnutzung der Schwachstelle 
Mensch mit dem Angriff der 
„Zhelatin-/Storm-Worm-Gang“ 
— benannt nach dem von ihr 
verbreiteten Trojaner — erreicht. 
Diese Gruppe war für einen 
Angriff verantwortlich, der als 
„storm Worm“ begann. Die 
Verbreitung dieses Wurms, der 
zum ersten Mal 2007 auftrat, 
begann mit E-Mails, die vorga- 
ben, Informationen zu gefähr- 
lichen Stürmen zu enthalten, 
die Ende Januar in Europa 
wüten sollten. Nutzer, die dar- 
auf hereinfielen, wurden auf 
eine Website mit bösartigem 
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Code geleitet, der Windows- 
PCs in Spam-Bots verwandelte. 
Im Laufe der Zeit nahmen 

E-Mails, die Links zum Storm 
Worm enthielten, diverse For- 
men an, von Warnungen vor 
angeblichen Raketenangriffen 
bis hin zu Berichten über Völker- 
mord. Im Gegensatz zum typi- 
schen Blog-Spam, den die meis- 
ten kennen, schleicht sich dieser 
Wurm in die Blogspot-Konten 
von Usern ein und erstellt neue 
Blog-Beiträge mit Links zum 
Trojaner selbst. Mehrere Millio- 
nen Computer waren weltweit 
infiziert und Teil dieses riesigen 
Botnets, bis es vor ein paar 
Monaten in kleinere Einheiten 
aufgeteilt wurde. 

Das Bankwesen ist auch 
weiterhin das primäre Ziel für 
Phishing-Angriffe. In den tech- 
nisch immer komplexeren Tro- 
janern implementieren Betrüger 
neue Angriffsverfahren, darun- 
ter Inhaltsfilter, die die Online- 
banking-Aktivitäten der Nutzer 
überwachen. Derartige Erken- 
nungsverfahren machen es für 
Betrüger einfacher und effekti- 
ver, mithilfe verschiedener Me- 
thoden an mehr Kontoinforma- 
tionen zu gelangen. 

Mit Lottery Scam tauchte im 
Herbst eine weitere Methode 


des Identitätsdiebstahls auf. Hier 
geht es um vermeintliche Ge- 
winne in Lotterien oder anderen 
Glücksspielen. Die gutgläubigen 
Opfer werden mit Gewinnen ge- 
lockt und auf Webseiten ge- 
lenkt, die entweder Schadcode 
enthalten und verteilen oder di- 
rekt nach vertraulichen persön- 
lichen Informationen fragen. 
Laut einer statistischen Erhe- 
bung des United States Postal 
Inspection Service beziffert sich 
der Schaden, der durch Lottery 
Scams entsteht, bereits auf 120 
Millionen US-Dollar im Jahr. 


Liebesgrüße aus 
Nigeria 

Eine besondere Rolle spielt in 
diesem Zusammenhang - wie- 
der einmal — die sogenannte 
Nigeria-Connection. Die orga- 
nisierten Gruppierungen aus 
Nigeria sind für die Mehrzahl 
der Angriffe verantwortlich. Aus 
diesem Grund hat die dortige 
Regierung nun eine Kommission 
eingerichtet, die mithilfe der 
Industrie und ausländischer 
Regierungen den Schaden ein- 
dämmen soll. Die Economic and 
Financial Crimes Commission 
(EFCC) berichtet, dass zumeist 
junge arbeitslose PC-Freaks 


160000 r Trojaner vorn: Microsofts Security 
Intelligence Report verzeichnete für das 
erste Halbjahr 2007 die Anzahl von Vari- 
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angeheuert werden, um Lottery 
Scamming aus Internetcafes zu 
betreiben. 

Neben der Stärkung der Ab- 
teilung für raffinierte Sicher- 
heitsverstöße ist auch die „Mo- 
bile-Malware-Industrie“ in den 
vergangenen Monaten aktiver 
geworden. „Personalisierter“ 
SMS-Spam, Lotterien und Troja- 
ner, die sich als Utility-Program- 
me tarnen, sind Beispiele für die 
sich schnell entwickelnden, auf 
mobile Endgeräte zugeschnitte- 
nen Bedrohungen. Immer kom- 
plexere „mobile“ Trojaner und 
Spyware sind Auftragsarbeiten 
kommerzieller Organisationen, 
die solide Profite machen und 
den Ausbau dieser Schatten- 
wirtschaft weiter vorantreiben. 

Spammer waren einen 
Schritt voraus, als sie Bilder 
anstelle von Text einsetzten, um 
eine Hash-Filterung und einen 
String-Abgleich zu umgehen. 
Spammer nutzten auch durch 


Malware infizierte Computer 
(beispielsweise Storm-Worm- 
Botnets), um ihre unerwünsch- 
ten Nachrichten zu versenden 
und eine Netzwerk-/Absender- 
Reputationsfilterung zu über- 
winden. Und als Excel, RTF, 
PDF und RAR archivierter Spam 
ist einfach nur eine Anti-Anti- 
Spam-Methode der nächsten 
Generation, die Spammer ein- 
setzen, um einer Erkennung zu 
entgehen. Dieses Katz-und- 
Maus-Spiel ist mit der Entwick- 
lung von Anti-Antivirentechniken 
vergleichbar, die Malware-Pro- 
grammierer einsetzen. Als Viren 
mithilfe heuristischer Methoden 
entdeckt wurden, verlegten 
sich deren Programmierer auf 
Polymorphie, um eine Erken- 
nung zu erschweren. 

Trotz der Einführung neuer 
Betriebssysteme (wie Windows 
Vista), neuer Dienste (Inhalte für 
mobile Endgeräte) und Geräte 
(iPhone) nutzen Cyber-Kriminelle 


Die „klassischen“ Akteure 


nationale 
Interessen 


persönlicher 
Gewinn 


persönlicher 


Neugier 


A Vandale 


Script-Kiddy 


Hobby-Hacker 


4 


Br AR A Eindringling N 


Autor 


Experte Spezialist 


Während früher die Aktionen gegen Computer von disparaten 
Angreifergruppen durchgeführt wurden ... 
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... sind diese heute zunehmend vernetzt (Abb. 2 und 3). 
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weiterhin ihre altbewährten Me- 
thoden für Angriffe auf Internet- 
nutzer. Darüber hinaus zeigt 
sich eine auffällige Rückkehr zu 
„den Ursprüngen“: Computer 
sind immer häufiger das Ziel 
von DDoS-Angriffen (Distributed 
Denial of Service) und Attacken, 
die Sicherheitslücken von Brow- 
sern ausnutzen, um dadurch in 
das System einzudringen. Der 
einzige Unterschied zwischen 
der Gegenwart und den vergan- 
genen Jahren ist wahrscheinlich 
die Tatsache, dass E-Mail nicht 
mehr das primäre Medium zur 
Verbreitung von Viren ist. Statt- 
dessen gehören nun Instant- 
Messaging-Dienste zu den 
hauptsächlichen Übertragungs- 


medien. Ein weiterer Unter- 
schied besteht darin, dass es 
seit Kurzem einen explosiven 
Anstieg von Trojanern gibt, die 
auf die Nutzer von Onlinespielen 
zugeschnitten sind. 


Prinzipiell intelligenter werden 
die Bedrohungen jedoch nicht. 
Doch die Bedrohung der IT-Si- 
cherheit hat sich zu einem eige- 
nen Wirtschaftszweig entwickelt, 
und das verschärft das Problem. 
Die am häufigsten eingesetz- 
te Abwehrmethode mithilfe von 
Signaturen kann auf neue Ge- 
fahren nur mit einer bestimmten 


Verzögerung reagieren. Signa- 
turen erscheinen immer etwas 
später als Reaktion auf einen 
Virus. Doch durch schnelle 
Netze und geschickten Code ist 
es möglich, innerhalb kürzester 
Zeit Millionen von PCs zu ver- 
seuchen. Darum propagieren ei- 
nige Hersteller mittlerweile so- 
genannte „proaktive“ Methoden 
zur Entdeckung von Viren. Diese 
Verfahren erfordern keine Ver- 
öffentlichung von Signaturen, 
denn sie analysieren nicht nur 
den Code des zu überprüfenden 
Objekts, sondern auch das Ver- 
halten von Anwendungen. Dann 
wird auf Basis eines Regelwerks 
entschieden, ob die untersuchte 
Software als gefährlich einzu- 


stufen ist oder nicht. Das erlaubt 
auch die Entdeckung noch un- 
bekannter Schadprogramme. 
Gelegentlich passiert schäd- 
licher Code netzwerkbasierte 
AV-Scanner oder signaturbasier- 
te Prüfungen, weil er als gutartig 
interpretiert wurde. Erst die ge- 
naue Untersuchung und eine 
Analyse der kombinierten Opera- 
tionen sind in der Lage zu erken- 
nen, ob aktive Inhalte tatsächlich 
bösartigen Code transportieren. 
Bereits bekannte Verhaltens- 
muster von Malware lassen sich 
in Caches speichern; wenn ein 
ähnliches Muster noch einmal 
auftreten sollte, wird diese Ac- 
tive Content List (ACL) abgefragt 
und der Schadcode entspre- 
chend aussortiert. Besonders 
hervorzuheben ist die Integritäts- 
kontrolle von Anwendungen und 
der System-Registry. Im letzte- 
ren Fall kontrolliert der Blocker 
die Veränderung der Regisitry- 
Schlüssel und gestattet es, Zu- 
gangsregeln für verschiedene 
Anwendungen aufzustellen. Da- 
durch können gefährliche Verän- 
derungen nach der Erkennung 
rückgängig gemacht werden. 
Auf diese Weise lässt sich das 
System nach schädlichen Aktio- 
nen unbekannter Programme 
sogar wiederherstellen und in 
den Zustand vor dem Angriff 
zurückversetzen. 
Was die Schutzmaßnahmen 
im Unternehmen angeht, zeigt 
sich ein Wandel weg von der 
Perimetersicherheit hin zu einer 
informationszentrierten Sicher- 
heitsarchitektur. Verantwortlich 
dafür sind nicht zuletzt die regu- 
lativen Bestimmungen. Im Hin- 
blick auf die rapide zunehmende 
Nutzung der sogenannten Social 
Networks und ihren dynamisch 
aufgebauten Inhalten muss im 
nächsten Schritt der Schutz von 
Instant Messaging, Web 2.0 und 
Onlinespielen, aber auch von 
virtuellen Maschinen verbessert 
werden. (st/JS) 
Eddy Willems 
ist Direktor Presse und 
Information von EIGAR 
(European Expert Group for 
IT Security). 
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C2C schlägt B2B 


Bots am Verhalten erkennen 


Der Handel mit gestohlenen persönlichen Daten ist wohl derzeit das lukrativste 
Geschäft für Kriminelle im Online-Umfeld. Bot-Netze, Zusammenschlüsse infizierter 
Computer, ferngesteuert für den Datenklau oder andere kriminelle Aktivitäten 
einsetzbar, verzeichnen eine alarmierende Zuwachsrate. Eine der effizientesten 
Schutzmaßnahmen stellt das Behaviour Blocking dar, das auf der Analyse des 
Verhaltens von Anwendungen beruht. 


M it den sich kontinuierlich 
verbessernden Nut- 
zungsmöglichkeiten des Inter- 
net nimmt auch die Motivation 
für kriminelle Angriffe zu. Sie 
werden zunehmend gezielter 
und haben zumeist den Daten- 
diebstahl im Visier. Die Verbre- 
cher müssen heutzutage nicht 
einmal mehr die Malware 
selbst programmieren, sondern 
kaufen im Internet ein und be- 
dienen sich sogenannter Bot- 
Netze oder trojanischer Pferde, 
um die totale Kontrolle über 
fremde Computer zu erlangen. 

Für den kriminellen Handel 
mit gestohlenen Daten oder mit 
Werkzeugen, die einen Identi- 
tätsdiebstahl ermöglichen, hat 
sich längst ein florierender 
Markt entwickelt. Dieses neue 
sogenannte Criminal-2-Crimi- 
nal-Geschäftsmodell (C2C) fußt 
im Wesentlichen auf zwei 
Grundlagen: der Entwicklung 
von Malware oder Bot-Netzen, 
die an Kriminelle weiterveräu- 
Bert werden, und dem Verkauf 
über Malware gewonnener, ge- 
stohlener Daten, aus denen die 
kriminellen Käufer Profit schla- 
gen wollen. 

Im Gegensatz zu den in der 
Vergangenheit gängigen Viren- 
attacken basiert die Mehrzahl 
heutiger Cybercrime-Angriffe 
auf dem Web. Gut entwickelte 
und unsichtbar auftretende 
Exploits nutzen die Schwach- 
stellen bestehender Sicher- 
heitssysteme (etwa von Anti- 
virenlösungen oder URL-Filter) 
und infiltrieren somit Computer 
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oder ganze Netze mit Installa- 
tionen, die versteckt im Hinter- 
grund ablaufen. In den meisten 
Fällen nimmt der Anwender zu 
spät oder gar nicht wahr, dass 
ein Angriff stattgefunden hat. 
Dabei arbeiten diese Attacken 
nach einer ziemlich simplen 
Logik: Je länger der bösartige 
Code unentdeckt bleibt, desto 
mehr potenzielle Angriffsziele 
kann er erreichen, und desto 
mehr Profit verspricht er. 


Zombies des 
21. Jahrhunderts 


Der Begriff „Bot“ leitet sich von 
„Robot“ ab, einem Wort, das 
dem tschechischen Ausdruck 
für Arbeit, „robota“, entstammt. 
Im technischen Umfeld wird 
darunter meist ein Programm 
verstanden, das ohne mensch- 
lichen Eingriff Aktionen aus- 
führt. Einer der bekanntesten 
klassischen Bots ist der IRC-Bot 
(Internet Relay Chat) Eggdrop, 
der seit 1993 häufig für die 
Automatisierung von IRC-Funk- 
tionen eingesetzt wird. Mittler- 
weile versteht man unter Bots 
Fernsteuerprogramme, über die 
ein Angreifer zuvor kompromit- 
tierte Systeme zentral steuern 
kann. Der Zusammenschluss 
dieser Programme mündet in 
ein Bot-Netz. 

Die Kontrolle über die Netze 
erreichen die Angreifer durch 
das Einschleusen trojanischer 
Pferde, die den Computer infi- 
zieren und dann auf Anwei- 
sungen warten, ohne auf dem 


infizierten Rechner Schaden 
anzurichten. Aktuell sind acht 
von zehn Schädlingen Trojaner. 
Hier lässt sich ein neuer Trend 
erkennen: Die Trojaner kom- 
men immer öfter in Begleitung. 
Sobald sie sich auf dem Rech- 
ner eingenistet haben, laden 
sie weiteren Schadcode nach. 
Einen auf diese Weise gestaf- 
felten Angriff nennt man 
Staged Downloader. Die Bot- 
Netze werden meist für Spam- 
Verbreitung, DDoS-Attacken 
(Distributed Denial of Service) 
oder zum gezielten Ausspio- 
nieren von Daten verwendet. 
Bot-Netze können aus vielen 
Tausenden von Rechnern be- 
stehen, deren Bandbreiten- 
summe die der meisten her- 
kömmlichen Internetzugänge 
übertrifft. 

Im Juni 2007 wurden zum 
Beispiel mithilfe des Trojaners 
MPack Toolkit über 500 000 
Rechner befallen. Die Ausbeute 
des Bots bestand in Kunden- 
informationen wie Benutzer- 
name, Kennwort, Kreditkarten- 
nummer oder PIN. Sobald der 
Anwender eine Onlinebanking- 
Site aufrief, wurde der Bot 
aktiv und ermittelte die ver- 
traulichen Informationen. 
Sogar abhängig von der Art 
der Inhalte (etwa bestimmte 
Finanzinstitutionen) reagierte 
der Bot entsprechend oder 
blieb inaktiv. Die illegal erwor- 
benen Daten wurden anschlie- 
Bend über eine SSL-Verbindung 
übermittelt - auch Hacker sind 
heute sicherheitsbewusst. 


Ein solches Netz aus „höri- 
gen“ Privatrechnern ermöglicht 
ganz neue Formen der Internet- 
kriminalität. Die verdeckt arbei- 
tenden Trojaner nehmen nach 
dem Befall eines Rechners ver- 
deckt Kontakt mit ihrem 
„Dienstherren“ auf und melden 
sich arbeitsbereit. Der Miss- 
brauch des PCs kann dann 
ganz ungestört ablaufen, wäh- 
rend der ahnungslose Nutzer 
an seinem Computer arbeitet. 
Die Kriminellen, die sich mit 
dem Aufbau solcher Netze be- 
fassen, nennen sich selbst 
„Herder“, also Hirten. Die geka- 
perten Rechner werden „Droh- 
nen“ oder auch „Zombies“ ge- 
nannt. Je mehr Drohnen ein 
solches Netz umfasst, desto 
effektiver können die Angriffe 
sein, die später davon ausge- 
hen. Deshalb arbeitet jeder 
Zombie-Rechner nach seiner 
Versklavung zunächst daran, 
weitere Rechner in die Arme 
seines Hirten zu treiben. Ganz 
wie in den Schreckenszenarien 
mancher Horrorfilme: Der An- 
griff eines Zombies erzeugt 
weitere Untote. 

Zahl und Größe der Bot- 
Netze haben massiv zugenom- 
men. Dazu trägt die Tatsache 
bei, dass immer mehr Nutzer 
über einen Breitband-Internet- 
anschluss verfügen und viele 
Computer rund um die Uhr ans 
Internet angeschlossen sind. 
Begünstigt wird diese Entwick- 
lung auch durch die immer billi- 
geren Internet-Flatrates, denn 
im Gegensatz zu analogen Inter- 
netverbindungen fällt bei DSL- 
Anschlüssen kaum auf, ob der 
Computer ungewünschte Dinge 
tut, weil die Verbindungsge- 
schwindigkeit dadurch nicht 
merklich sinkt. Durch Bot-Netze 
ist ein Rechner nicht mehr le- 
diglich Opfer, sondern gleichzei- 
tig auch Täter, er erhält Befehle 
und führt diese aus. 

Ein kürzlich erschienenes 
Positionspapier der ENISA 
(European Network Information 
and Security Agency) be- 
schreibt das aktuelle Ausmaß 
der Bot-Net-Seuche. Weltweit 
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sind derzeit zwischen 1000 
und 2000 Bot-Netzen aktiv. 
Im Durchschnitt besteht jedes 
dieser Netze aus ungefähr 

20 000 infizierten Computern. 
Die kleinsten Netze umfassen 
rund zehn und die größten 
nicht weniger als 300 000 
Rechner. Um die 50 000 infi- 
zierte Zombie-PCs kommen 
täglich hinzu. Und insgesamt 
sind täglich nicht weniger als 
fünf bis sechs Millionen fern- 
gelenkte Computer aktiv. 


Bots über Mobilgeräte 


Die ENISA warnt auch vor 
neuen Verbreitungsformen der 
Bots. Das Web reicht den Ha- 
ckern nicht mehr aus, und es 
werden neue Plattformen ge- 
nutzt. Neuerdings verbreiten 
sich Bots auch immer häufiger 
über Instant Messenger (ICQ, 
MSN, AIM und andere). Als 
Nächstes stehen Handys und 
andere mobile Endgeräte auf 
dem Programm. In Zukunft 
dürften sich kleinere, jedoch 
hoch spezialisierte Bots durch- 
setzen. Beispielsweise könnten 
Angreifer Nutzern suggerieren, 
dass sie E-Mails oder Weblinks 
von Freunden oder Kollegen zu- 
geschickt bekommen. Die so 
gewonnenen Informationen 
werden zielgerichtet zum Pass- 
wortklau oder gar zur Betriebs- 
spionage ausgenutzt. 

Kriminelle bauen ihre mo- 
dernen Bot-Netze nun häufig 
über Peer-to-Peer-Verbindun- 
gen auf. In diesem Fall gibt es 
keinen zentralen Server mehr, 
über den die Bots kontrolliert 
und gemanagt werden. Ein ge- 
zieltes Aufspüren und vor allem 
das Lahmlegen ganzer Bot- 
Netze wird also zunehmend 
schwieriger. Und nicht zuletzt 
verändern sich Bot-Netze durch 
Zufallsroutinen permanent 
selbst. Aus der Entfernung 
werden ihre Funktionen auto- 
matisch ständig weiterent- 
wickelt — sie mutieren quasi 
am laufenden Band. Und dabei 
verändern sie die Spuren, die 
sie auf ihren Wirtsrechnern 


VI 


hinterlassen, und sind dadurch 
immer schwieriger aufzuspüren. 


Zombies zur Miete 


Wie bereits erwähnt, ist der 
heutige Internetkriminelle nicht 
mehr notwendigerweise ein 
versierter Programmierer. 
Viren, trojanische Pferde und 
auch Bot-Netze lassen sich 
heutzutage einfach und be- 
quem anmieten. Und wie im 
ganz normalen Leben gibt es 
Qualitätsunterschiede: Je bes- 
ser ein Bot getarnt ist und je 
mehr Rechner infiziert sind, 
desto wertvoller ist ein Netz. 
Pro gekidnapptem Rechner und 
Tag verlangen Bot-Manager 
ungefähr ein bis vier Euro. Be- 
sonders leistungsfähige Rech- 
ner können bis zu 70 Euro kos- 
ten. Speziell chinesische Täter 
bieten Dumpingpreise: Für 
weniger als einen Euro pro Tag 
lässt sich ein Bot-Rechner an- 
mieten und für die eigenen 
Zwecke einsetzen. 

Bot-Netze sind ein interna- 
tionales Problem, und die 
ENISA fordert deshalb nicht nur 
ihre EU-Mitgliedstaaten zu 
mehr Zusammenarbeit auf, 
sondern ist der Meinung, es 
müsse ein internationaler Aus- 
tausch und Zusammenschluss 
auf Behördenebene stattfinden, 
um die Netze effektiv aufzuspü- 
ren und die Verwalter dingfest 
zu machen. Ein erster Schritt 
dahin besteht in der Umsetzung 
von Awareness-Kampagnen, 
die auf das Phänomen auf- 
merksam machen. Nicht weni- 
ge Experten sehen jedoch ins- 
besondere die Internetprovider 
in der Pflicht. Diese tun nach 
Ansicht vieler Fachleute näm- 
lich immer noch zu wenig, um 
ihre Netze gegen Schädlinge 
und Eindringlinge zu schützen. 
Wie in den USA sollten sich 
auch deutsche Provider über 
die Entdeckung neuer Bot- 
Netze besser austauschen und 
übergreifende schwarze Listen 
erstellen. 

Auch in puncto Prävention 
und Benutzersensibilisierung 


hinken die Provider immer noch 
hinterher, von einigen löblichen 
Ausnahmen abgesehen, die 
ihre Kunden vor Gefahren war- 
nen und auf mögliche Bot- 
Netz-Infektionen hinweisen. 
Dabei wird auch schon mal die 
DSL-Verbindung gekappt, ins- 
besondere wenn der Provider 
einen Spam-Massenversand 
von einem bestimmten Rechner 
feststellt. 


Behaviour Blocking 
als Schutzmaßnahme 


Das sogenannte Behaviour Blo- 
cking analysiert das Verhalten 
der gestarteten Anwendung 
und blockiert gefährliche Ak- 
tionen. Auf diese Weise lässt 
sich ein effizienterer Schutz 
gegen trojanische Pferde, die 
Bots transportieren, aufbauen 
als mit signaturbasierten Me- 
thoden. Im Unterschied zur 
heuristischen Analyse, die ver- 
dächtige Handlungen im Emu- 
lationsmodus (dynamische 
Heuristik) untersucht, arbeiten 
Behaviour Blocker (Verhaltens- 
blocker) unter realen Bedingun- 
gen. Die neue Generation von 
Verhaltensblockern analysiert 
nicht nur einzelne Aktionen, 
sondern auch die Abfolge von 
Handlungen. Das bedeutet, 
dass die Beurteilung der Ge- 
fahr, die von einer Anwendung 
ausgeht, auf einer komplexen 
Analyse basiert. 

Moderne Verhaltensblocker 
sind in der Lage, ein breites 
Spektrum von Ereignissen im 
System zu analysieren und zu 
kontrollieren, vor allem poten- 
ziell gefährliche Aktivitäten wie 
alle gestarteten Prozesse oder 
Speicherung aller Veränderun- 
gen im Dateisystem und in der 
Registry. Wird eine verdächtige 
Aktion gestartet, erhält der Nut- 
zer eine Warnung über dessen 
Gefährlichkeit. Zudem erfasst 
der Blocker das Eindringen des 
schädlichen Programmcodes 
in fremde Prozesse und ent- 
deckt auch sogenannte Root- 
kits, also Programme, die die 
Arbeit des schädlichen Codes 


in Dateien, Ordnern und der 
Registry verbergen sowie ge- 
startete Programme, System- 
dienste, Treiber und Netzver- 
bindungen verstecken. 

Zwischen proaktiven Lö- 
sungen und Behaviour Blo- 
cking gibt es Unterschiede. 
Proaktive Ansätze untersuchen 
Muster und assoziieren sie mit 
bekannten Schadcode-Listen. 
Diese Lösungen untersuchen 
nicht das Verhalten des In- 
halts, sondern den Inhalt 
selbst. Darum sind diese Pro- 
dukte nicht in der Lage, zu 
verstehen, wie sich ein Brow- 
ser beim Laden einer be- 
stimmten Webseite tatsächlich 
verhält. Diese Art von Produkt 
kann die Webseite nicht als 
Ganzes betrachten, weil sie 
nur individuelle Pakete sieht. 
Das ist ein Grund, warum sol- 
che Lösungen nur schwer Spy- 
ware oder Phishing-Attacken 
erkennen können. 

Der gesamte Kontext einer 
drohenden Ausführung eines 
Angriffs lässt sich tatsächlich 
lediglich auf der Anwendungs- 
ebene (beispielsweise im 
Browser) erkennen und das 
Verhalten sowie Auswirkungen 
interpretieren. Es gibt unzählige 
Wege, Schadcode zu verste- 
cken - der einzige Weg, das 
Verhalten zu erforschen, be- 
steht in der Analyse, während 
die Anwendung läuft. 

Im Kampf gegen die Bot- 
Netze haben die Anwender 
selbst immer noch die stärks- 
ten Waffen in ihrer Hand. Da 
sich die meisten Angriffe im 
Internet abspielen, sind eine 
Firewall und ein aktuelles Anti- 
viren-Programm ebenso ein 
Muss wie das Aufspielen der 
aktuellsten Updates auf das Be- 
triebssystem. Vorsicht ist auch 
beim Öffnen von unbekannten 
Links geboten. Dies gilt ebenso 
für E-Mail-Anhänge von unbe- 

kannten Personen. (st/JS) 
Manuel Hütt! 
Vorstandsmitglied der EIGAR 
(European Expert Group for IT 
Security) und General Manager 

DACH bei Waggener Edstrom 
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Klare Vorteile für KMUs, Konzerne und Service Provider 


Managed Security Services 


Der Markt für Managed Secu- 
rity Services wächst bestän- 
dig, jedoch gilt dieser als 
schwierig und kostenintensiv. 
Clavisters neue Security 
Service-Plattform beseitigt 
diese Probleme und ermög- 
licht es so Resellern, System- 
häusern, IT-Abteilungen und 
Service Providern effizient 
auf dem Outscouring-Security- 
Markt zu agieren. 


Die Clavister Security Service-Plattform 
(SSP) steht für das gesamte Clavister-Pro- 
duktportfolio von Security-Gateways, 
UTM-Appliance- sowie Management Syste- 
me und den damit zusammenhängenden Si- 
cherheits-Services. Diese Lösung, kombi- 
niert mit den Clavister Lifecycle-Systemen 
FineTune, PinPoint, und Insight setzt einen 
neuen Standard für Managed Security Ser- 
vices, da sich einerseits die Total Cost of 
Ownership (TCO) auf ein Minimum redu- 
zieren lässt und andererseits ein rascher Re- 
turn of Invest (ROI) erreichen lässt: sowohl 
für KMUs, die ihre Security an externe 
Dienstleister auslagern, als auch für Konzer- 
ne, die über interne IT-Serviceabteilungen 
verfügen und Service Provider, die ihren 
Kunden wiederum Sicherheitsdienstleistun- 
gen anbieten wollen. FineTune und PinPoint 
werden von Clavister kostenlos angeboten, 
wodurch Manage Security Service Provider 
im Gegensatz von herkömmlichen Lösun- 
gen massiv Geld sparen können. Die Hard- 
ware-Basis in den Zentralen bilden dabei 
UTM-Appliance-Systeme der 4000er-oder 
3000er-Systemreihen. Zur Anbindung von 
Niederlassungen kommt die SG10-Serie 
zum Einsatz. Die SG10-Serie garantiert 
Manage Security Service Providern eine op- 
timale und sichere Anbindungen von klei- 
nen Firmen oder Außenstellen. Damit wer- 
den Kompromisslösungen vermieden, die 
Service Provider in der Vergangenheit dazu 
gezwungen hatten sich zwischen Standard- 
produkten mit unzureichenden Funktionen 
oder teuren Lösungen mit unnötig vielen 
Features zu entscheiden. Die SG10-Serie 
bietet darüber hinaus noch weitere Vorteile: 
Beispielsweise kann eine Antivirus Scan- 
Engine und eine Supportfunktion für 
Clavisters InSight Reporting- und Logfile- 


Analyse-System integriert werden. Ebenso 
enthält die Serie eine Web Content Filtering- 
Funktion sowie ein Intrusion Detection und 
Prevention (IDP/IPS) System. 

Die Lösung ermöglicht einen schnellen 
und kosteneffizienten Einsatz der Managed 
Security Services (MSS), beispielsweise in 
den Bereichen: 

Managed VPN 

Managed Wireless Network Protection 

Managed Firewalling 

Managed Intrusion Detection and 
Prevention (IDP) 

Managed Antivirus Protection 

Managed Content Filtering 

Managed Web-Use Reporting 

Managed Regulatory Compliance Reporting 


Die Clavister SSP-Plattform zeichnet 
sich durch die Fähigkeit aus, sich an das 
Wachstum der Unternehmen anpassen zu 
können (Clavister xPansion Lines). Hierzu 
wurde die Lösung mit Feinabstimmungs- 
mechanismen und hochgradig skalierbaren 
Funktionen ausgestattet, die es jedem Betrei- 
ber ermöglichen, diese an seine individuel- 
len Leistungs- und Funktionsanforderungen 
nahtlos anzupassen. Die Tatsache, dass so- 
wohl der Clavister SSP als auch das 
Customer Premise Security Gateway (CPE) 
dasselbe hoch skalierbare Betriebssystem 
Clavister CorePlus’”" verwenden, macht jeg- 
liche Kompromisse zwischen maximalem 
Service, Verfügbarkeit, Funktionalität, Steu- 
erbarkeit, TCO sowie Kapitalinvestitionen 
hinfällig. 

Mit Clavister FineTune steht den An- 
bietern von Managed Security Services ein 
modernes, graphisch orientiertes Manage- 
ment-System (GUI) zur Verfügung, das die 
zentrale Verwaltung einer Vielzahl von 
Clavister Security-Gateways aus einer be- 
nutzerfreundlichen GUI-Umgebung heraus, 
ermöglicht. Über dieses Management-Sys- 
tem ist die Remote-Verwaltung aller 
Clavister-Devices inklusive deren Konfigu- 
ration, Real Time-Monitoring sowie -Log- 
ging, Revisionskontrolle und Firmware 
Upgrades möglich und wird via 128-Bit- 
Verschlüsselung und Authentifizierungs- 
mechanismen effektiv geschützt. 

Mit Clavister-PinPoint”" ist ein neues 
Tool verfügbar, mit dem Sicherheitsprozes- 
se in Echtzeit überwacht werden können. 
Dieses ermöglicht Security Managern über 
eine intuitiv zu bedienende Oberfläche 
einen grafischen Überblick u.a. über Surf- 


Anzeige 


gewohnheiten, Resultate von Virus- oder 
Malware-Scans, Einbruchsversuche in das 
Netzwerk oder VoIP-Statistiken. Vergleich- 
bar mit einem Flugzeug-Cockpit, können 
die „Piloten“ von PinPoint essenzielle 
Daten (Mission Critical) von weniger wich- 
tigen (Non-Critical) unterscheiden und an- 
zeigen lassen. Clavister ist der erste Her- 
steller, der eine einfach zu bedienende Ap- 
plikation auf den Markt bringt, die Securi- 
ty-abhängige Vorfälle in Echtzeit 
visualisiert. 

Durch Clavister InSight wird diese 
Plattform mit erweiterten Funktionen für 
das Logging und Monitoring von Security- 
Events und um umfassende Alarm- und Fo- 
rensikfunktionen ergänzt. InSight bietet 
eine leistungsfähige „Security-Intelligenz“, 
die automatisch alle Event-Daten von Cla- 
vister-Systemen und anderen Multi-Ven- 
dor-Netzwerkgeräten wie Router oder 
Switches etc. sammelt, kontrolliert und re- 


portet. InSight liefert folgende fortschrittli- 
che Security-Intelligence-Features wie zum 
Beispiel: GUI (Graphical User Interface)- 
basierter detaillierter Event-Drilldown, 
User-definierbare Event- und Threat-Level- 
Klassifizierung, Heterogenes Real-Time- 
Monitoring, zusammengefasstes Reporting 
und viele weitere wertvolle Funktionen. 

Auch wenn die Firmen noch zögern, 
insgesamt mehren sich die Anzeichen 
dafür, dass sich der MSS-Markt in einem 
Aufschwung befindet. Das zeigt die Um- 
satzentwicklung der europäischen Security- 
Outsourcing-Anbieter: Die Analysten von 
Gartner bescheinigen diesen eine durch- 
schnittliche jährliche Wachstumsrate von 
14,9 Prozent. 
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Tel.: +49 40 411259-0 
E-Mail: info@clavister.de, www.clavister.de 


Besuchen Sie uns 


(@23/]8 auf der CeBIT in 
Halle 6, Stand K05! 


Clavister-Aktion zur CeBIT 2008: 
Sichern Sie sich Ihr kostenloses 
Security Gateway! 


Die ersten 50 Besucher, die sich unter 
www.clavister.com/ix registrieren, Kön- 
nen sich die kostenlose Clavister-P12 
Softwarelizenz herunterladen und sich 
somit Ihr eigenes Clavister Security Gate- 
way erstellen. Diese Version unterstützt 2 
Netzwerkkarten und verfügt über einen 
Durchsatz von 10Mbit/s. Viel Glück! 


Willkommen 
in der Welt 


von phion 


phion netfence sorgt dafür, das: 
Ihre Unternehmenskommunik: 
durch verschiedenste Bedro 
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Security 


Trojanersturm 


Neue Formen des Datendiebstahls 


Das Geschäft mit kriminell motivierten Gyber-Angriffen 
wächst sich zu einem ernsthaften Problem aus, das 
längst BKA und Dienste interessiert. Schließlich geht es 
um international organisierten Identitätsklau und 
Datendiebstahl. Phishing mit E-Mails, die auf gefälschte 
Webseiten verweisen, und Pharming sind dabei nur 
zwei Spielarten. Immer häufiger werden Daten mit 
trojanischen Pferden gestohlen. 


Be ist längst 
nicht mehr nur die Domä- 
ne von Wirtschaftsspionen, Ge- 
heimdiensten und Terroristen. 
Kriminelle Banden haben den 
Wert von Daten erkannt. Phi- 
shing ist ein Versuch, vertrau- 
liche Daten von Anwendern 
durch gezielte Täuschungs- 
manöver zu stehlen. Seit den 
ersten Betrugsversuchen dieser 
Art Mitte der 1990er-Jahre ist 
die Anzahl der Phishing-Atta- 
cken erheblich gestiegen. Die 
Betreiber der Sammelstelle 
Phishtank berichten über eine 
Steigerung der Anzahl von Phi- 
shing-Betrugsangriffen um 254 
Prozent von Januar bis April 
2007. Der Service Phishtank des 
kalifornischen Unternehmens 
OpenDNS sammelt bekannte 
Phishing-Webseiten in einer 
Datenbank, die durch die inter- 
nationale Open Source Commu- 
nity ständig aktualisiert wird. 


Angriffsziel 
Onlinebanking 


Die größte Zielgruppe sind nach 
wie vor Kunden von Onlineban- 
ken - insbesondere in Ländern, 
wo PIN und eine einfache TAN 
die einzige Barriere zwischen 
Dieb und Konto bilden (bei- 
spielsweise Großbritannien und 
USA). Wie hoch der Schaden 
durch Onlinebanking-Betrug ist, 
lässt sich nur schätzen. Deut- 
sche Banken schweigen sich 


über die Schadenssummen aus. 
Der Bitkom geht für 2006 von 
3250 Phishing-Fällen mit einem 
mittleren Schaden von jeweils 
4000 Euro aus — zusammen 
also 13 Millionen Euro. Viele 
Fälle kommen aber gar nicht 
erst ans Licht der Öffentlichkeit, 
da die betroffenen Personen und 
Organisationen Rufschädigung 
befürchten. Diese Zahlen bele- 
gen, dass der Diebstahl von In- 
formationen ein florierendes 
Geschäft ist. 


Komplettdiebstahl der 
Identität 


Schon lange nicht mehr sind die 
Aktivitäten auf Onlinebanking- 
Daten begrenzt. Manche Daten- 
spione stehlen auf infizierten 
Rechnern alle Eingaben in For- 
mulare. Davon sind dann auch 
Zugangsdaten zu Social-Networ- 
king-Foren, E-Mail-Postfächern, 
Onlineshops, Jobbörsen oder 
Chat-Räumen betroffen. Im ein- 
fachsten Fall verkaufen die Kri- 
minellen die Daten unsortiert auf 
dem Schwarzmarkt. Die Zu- 
gangsdaten können aber auch 
zur Geldwäsche und zum Ver- 
sand von Foren-Spam genutzt 
werden. Im Jahresbericht von 
Phishtank belegen die ge- 
fälschten Seiten von Ebay und 
dessen Bezahldienst Paypal mit 
Abstand die Spitzenplätze. Die 
anfänglichen Probleme mit Zei- 
chensätzen und Sprache sind 
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überwunden, und dank flexibler 
und einfach zu bedienender 
Tools wie Rockphish können 
mehrere Phishing-Seiten auf 
einer Website gehostet werden. 
Einen Schutz gegen Phishing 
bieten Spam-Filter. Sie erken- 
nen Phishing-Mails und verhin- 
dern deren Zustellung. Der Zu- 
gang zu Phishing-Seiten kann 
aber auch auf anderen Wegen 
erfolgen: beim Chat, in Spielen, 
in Foren. Anti-Phishing-Toolbars 
in Browsern warnen vor Phi- 
shing-Seiten oder verbieten den 
Zugang komplett. Der Internet 
Explorer 7 oder Firefox 2.xx 
sowie viele Internet-Sicherheits- 
lösungen enthalten sie von 
Hause aus. Diese Toolbars set- 
zen einerseits auf heuristische 
Verfahren zur Erkennung 
„schlechter“ URLs. Dabei be- 
steht jedoch immer die Gefahr 
eines False Positive, deshalb 


sind die Regelsätze recht kon- 
servativ. Viele Anbieter setzen 
zusätzlich auf die Kraft der 
Community. Wer eine gefälschte 
Webseite findet, meldet sie dem 
Response-Team des Anbieters, 
das sie verifiziert und gegebe- 
nenfalls in eine schwarze Liste 
aufnimmt. Nachteil dieses Ver- 
fahrens: Das Verifizieren der 
Seite dauert zu lang - ähnlich 
wie das Erstellen von Viren- 
signaturen. Bei Phishtank sind 
das im Durchschnitt knapp zwei 
Tage, bei kommerziellen Anbie- 
tern wenige Stunden. In diesem 
Zeitfenster können die Daten- 
diebe ungestört agieren. 


Die Anwender 
sensibilisieren 
So bleibt die Sensibilisierung 


des Anwenders, wie in so vie- 
len Betrugsszenarien, das wich- 


tigste Mittel im Kampf gegen 
Datenverlust. Beim Umgang mit 
persönlichen Daten sollten alle 
Internetnutzer sehr vorsichtig 
sein; den Benutzern muss klar- 
gemacht werden, dass bei si- 
cherheitsrelevanten Eingaben 
der überprüfende Blick auf die 
URL zum Pflichtprogramm ge- 
hört: Links ein https:// muss 
sein, und den Domain-Namen 
von ganz rechts lesen sollte 
man auch immer. Das ist zwar 
immer noch keine 100-prozen- 
tige Garantie gegen Fake-URlLs, 
aber man hat wenigstens die 
dümmsten Formen der Irrefüh- 
rung ausgeschlossen. 


Pharming: 
Angriff auf DNS-Server 
Pharming ist eine Technik, die 


Benutzer unbemerkt auf falsche 
Webseiten leitet, obwohl diese 


den korrekten Domänennamen 
im Browser eingegeben hatten. 
Basis dieser Angriffe ist die Er- 
mittlung der IP-Adresse einer 
Domain. Dazu kann das DNS- 
System selbst angegriffen wer- 
den. Schlecht gewartete oder 
konfigurierte DNS-Server bieten 
Angreifern Möglichkeiten, den 
Cache der DNS-Server mit fal- 
schen Informationen zu füllen 
(DNS Cache Poisoning genannt) 
oder den DNS-Server anderwei- 
tig zu kompromittieren. 

Ebenso liefern Client-Rech- 
ner Ansatzpunkte zum Aushe- 
bein des DNS-Systems. Diese 
werden hauptsächlich von 
Trojanern genutzt. Kundige 
PC-Anwender können sich vor 
lokalen DNS-Angriffen schüt- 
zen, indem sie kritische Links, 
etwa den zu ihrer Onlinebank, 
als IP-Adresse in den Favoriten 
speichern. 


eieven 
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Eine weitere Technik für den 
Identitätsdiebstahl ist der Ein- 
satz von Trojanern. Diese 
bestreiten mittlerweile die 
überwiegende Mehrheit der 
Phishing-Angriffe. Die vielfäl- 
tigen Schutzmechanismen 
gegen Phishing und die fort- 
schreitende Aufklärung der 
Nutzer zeigen Wirkung. Auch 
die Gegenmaßnahmen der 
Geldinstitute wie iTAN (indi- 
zierte TANs), mobile TAN (nach 
Übersendung der ausgefüllten 
Überweisung im Internet erhält 
der Nutzer von der Bank per 
SMS eine nur für diesen Vor- 
gang verwendbare TAN), 
Token für zeitlich begrenzte 
TANs und HBCI (Home Banking 
Computer Interface) tragen 
dazu bei, dass die gephishten 
Informationen nicht mehr ver- 
wertet werden können. Die 
Kriminellen brauchen - zumin- 
dest in den meisten Ländern — 
neue Mittel, um die Daten 


Ihre Beratungsprofis für 
Unternehmenssicherheit und 
IT-Organisation 


abzugreifen. Zu diesem Zweck 
setzen sie unterschiedliche 
Arten von Crimeware ein. 


Gefahr durch 
Keylogger 


Keylogger zeichnen Tastatur- 
aktionen auf. Sie können als 
Treiber realisiert sein oder Infor- 
mationen an den im Betriebs- 
system dafür vorgesehen 
Schnittstellen abrufen (WinAPI 
SetWindowsHook oder WinAPI 
GetKeyboardState). Zur Tarnung 
integrieren sie sich in gängige 
Systemprozesse (winlogon.exe, 
services.exe) oder nutzen Root- 
kits. Oft schlagen sie nur zu, 
wenn bestimmte Bedingungen 
erfüllt sind, etwa wenn die gera- 
de geöffnete Webseite in einer 
oft sehr langen Liste von Domä- 
nennamen enthalten ist oder 
wenn der Benutzer ein Fenster 
mit bestimmten Inhalten öffnet. 
Als Gegenmaßnahme wurden 
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Bildschirmtastaturen entwickelt. 
Die Reaktion darauf sind wiede- 
rum Screenlogger. Diese schie- 
Ben entweder in regelmäßigen 
Abständen Bilder des gesamten 
Bildschirminhalts (Rbot) oder 
erzeugen bei jedem Mausklick 
eine Grafik des Mausumfelds. 
Manchmal werden die Bild- 
sequenzen auch gleich in eine 
AVI-Datei umgewandelt. 

Einige Schädlinge (zum Bei- 
spiel Torpig) verändern das Aus- 
sehen des Browsers. Sie sind in 
der Lage, die Adresszeile mit 
der korrekten Anschrift darzu- 
stellen, obwohl die Inhalte von 
einem anderen Server kommen. 
Auch das Schloss, das eine ver- 
schlüsselte Verbindung symboli- 
siert, lässt sich simulieren. 

Manche Schädlinge (etwa 
Bancos-Varianten oder Nurech) 
manipulieren die Inhalte be- 
stimmter Webseiten und fügen 
entweder weitere Formularfelder 
oder ganze Webseiten ein. Dabei 


bleiben bestehende SSL-Zerti- 
fikate aktiv. Ohne die Hilfe spe- 
zieller Tools ist es nicht möglich 
zu erkennen, ob diese Daten 
gefälscht sind oder nicht. Die so 
gewonnenen Daten werden so- 
wohl an die Angreifer als auch 
an die echten Webserver ge- 
schickt. Nach dem Datendieb- 
stahl wird die Sitzung normal 
fortgesetzt, sodass bei den Op- 
fern kein weiterer Verdacht ent- 
steht. Erst der Blick auf die Ab- 
rechnung offenbart den Angriff. 

Frühe Session Hijacker 
unterbrachen die Verbindung 
des Opfers, nachdem es seine 
Daten eingegeben hatte. Das 
weckte unmittelbar nach dem 
Angriff Verdacht. Seit einiger 
Zeit werden Sessions so über- 
nommen, dass die Angreifer- 
software zwar die Beträge und 
Kontoangaben zu seinen Guns- 
ten ändert (beispielsweise mit 
Bancos), dem Opfer aber des- 
sen Angaben anzeigt — bis hin 
zur „Korrektur“ des Konto- 
stands. Auch hier ist der Betrug 
erst beim Blick auf die Konto- 
auszüge ersichtlich. 


Angriff auf hosts-Datei 


DNS-Spoofing nutzt, wie be- 
reits erwähnt, häufig die loka- 
len Möglichkeiten, einem Do- 
mänennamen eine falsche 
IP-Adresse zuzuweisen. Ein 
Angriffspunkt, den die Malware- 
familie QHosts häufig nutzt, ist 
die Datei hosts im Verzeichnis 
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C:\windows\system32\drivers\ 
etcetera, in der Host-Namen 
IP-Adressen zugewiesen sind. 
Wenn dies gelingt, bedarf es 
keiner weiteren Versuche, die 
gefundene IP-Adresse zu veri- 
fizieren. Eine andere Möglich- 
keit bieten die Einträge für die 
DNS-Server. Sind diese so 
manipuliert, dass sich die 
DNS-Anfragen an einen vom 
Angreifer kontrollierten Server 
richten, gibt es für die meisten 
Seiten korrekte Ergebnisse — 
aber für einige eben nicht. 

Redirector wiederum lenken 
den Datenfluss so um, dass ein 
Man-in-the-Middle-Angriff 
möglich wird, durch einen loka- 
len Proxy oder einen Proxy-Ser- 
ver, der unter der Kontrolle des 
Angreifers steht. Darüber lässt 
sich die gesamte Netzkommu- 
nikation des Opfers belauschen 
- E-Mails, Chats, besuchte 
Webseiten, Formulardaten, 
Datei-Downloads und so weiter. 

Sniffer fangen den Daten- 
strom in einem Netzwerk ab. 
Mittels ARP-Spoofing funk- 
tioniert das auch in nicht 
geswitchten Netzwerken. Spy- 
Trojaner schließlich durchsu- 
chen den gesamten PC nach 
verwertbaren Informationen. 
Das können E-Mail-Adressen 
sein oder Dateien mit be- 
stimmten Inhalten oder eines 
bestimmten Dateityps. Diese 
Daten werden gepackt und an 
den Angreifer gesendet. Sehr 
beliebt sind auch auf dem 
System gespeicherte Login- 
Informationen, Registrierungs- 
schlüssel und Passwörter 
(oder deren Hashes). 


UTM als Grundschutz 


Für jede Einzelne dieser Bedro- 
hungen sind spezielle Lösungen 
erforderlich, die sich an der je- 
weiligen Situation orientieren 
müssen. Unified Threat Ma- 
nagement (UTM) bietet einen 
soliden Grundschutz. Solche 
Systeme integrieren unter- 
schiedliche Sicherheitstechni- 
ken wie Firewall, Antivirus, 
Intrusion Detection oder Intru- 
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sion Prevention in ein Gerät. 
Anhänger des „Best of Breed“- 
Konzepts kaufen die jeweils 
besten Einzelkomponenten und 
nehmen die umständlichere 
Konfiguration in Kauf. 

Viele Webseiten erzeugen 
ihre Inhalte aus Datenbanken. 
Interaktive Funktionen werden 
über Eingaben in Formularfel- 
der gesteuert. Doch ungefilter- 
te Eingaben können die Inhalte 
der Datenbank auslesen und/ 
oder manipulieren. SQL Injec- 
tion ist eine der häufigsten An- 
griffsarten auf Datenbanken. 
Aber auch per Cross-Site Scrip- 
ting und Pufferüberlauf lassen 
sich Datenbankinformationen 
stehlen. Durch zielgerichtete 
Phishing- oder Crimeware-An- 
griffe können die Zugangsdaten 
des Datenbankadministrators 
gestohlen werden. Hier sind 
die Entwickler der Webseiten 
oder -anwendungen gefordert, 
jedes Eingabefeld auf Stim- 
migkeit zu prüfen. 

Wie auch beim Schutz vor 
Computerschädlingen können 
technische Lösungen nur einen 
Teil der Angriffe abwehren. 


Immer misstrauisch 
bleiben 


Gegen Datenklau und Identi- 
tätsdiebstahl gibt es zwar 
sowohl speziell entwickelte 
Softwarelösungen als auch all- 
gemeine, umfassende Ansätze. 
Man sollte sich jedoch nicht in 
falscher Sicherheit wähnen und 
keinen hundertprozentigen 
Schutz erwarten. Darum ist 
und bleibt die Umsicht und Vor- 
sicht besonders wichtig. Das 
Internet ist ein Ort, an dem kri- 
minelle Betrüger aktiv sind. 
Und deshalb ist ein richtiges 
Maß an Misstrauen das 
effektivste Mittel. 
(st/JS) 
Manuel Hütt! 
ist Vorstandsmitglied der 
European Expert Group for IT 
Security (EIGAR). 
Ralf Benzmüller 
ist Leiter der SecurityLabs 
von G DATA. 
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Einbruch- 
sicherung 


Intrusion-Detection- und 
Intrusion-Prevention-Systeme 


Erfolgreiche Angriffe lassen sich nie hundertprozentig 
ausschließen, auch wenn präventiv wirkende Tools wie 
Firewalls und Antiviren-Scanner vorhanden sind. 
Darum ist es wichtig, die Folgen einer Infektion oder 
eines Hackerangriffs so gering wie möglich zu halten. 


s gibt viele Wege, auf 

denen Schadcode auf ein- 
zelne Computersysteme oder in 
ein ganzes Netz gelangen kann. 
Selbst wenn die Verantwort- 
lichen ihre präventiv tätigen Si- 
cherheitssysteme wie die Fire- 
wall und den Antiviren-Scanner 
richtig konfiguriert und aktuali- 
siert haben und sich die meisten 
Benutzer durch Schulungen der 
Gefahr durch mobile Datenträ- 
ger bewusst sind — eine einzige 
unbedachte Tat genügt. Syste- 
me für Intrusion Detection und 
Intrusion Prevention können 
durch schnelles Aufdecken des 
Angriffs die Folgeschäden ver- 
ringern respektive eine Attacke 
verhindern. 

Der Begriff der „Intrusion“ 
schließt dabei jede nicht autori- 
sierte Handlung ein. Insbeson- 
dere gilt dies natürlich, wenn 
die Handlung die Funktion des 
Systems beeinträchtigt. Zu 
möglichen Intrusions gehört 
neben dem klassischen Angriff 
eines Hackers von außen der 
Missbrauch des Systems durch 
einen regulären Benutzer. 

Intrusion-Detection-Lösun- 
gen nehmen im Wesentlichen 
drei Teilaufgaben wahr. In der 
Disziplin Angriffs-/Einbruchser- 
kennung (klassische Intrusion 
Detection) versucht die Software 
beispielsweise, den Einbruch in 
einen Webserver zu entdecken. 
Die Missbrauchserkennung (Mi- 
suse Detection) untersucht, ob 
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Benutzer oder Programme sich 
gemäß den Sicherheitsregeln 
verhalten oder ob sie beispiels- 
weise Zugriff auf verbotene 
Internetdienste oder Ordner im 
Dateisystem erlangen wollen. 
Über die Erkennung von Anoma- 
lien (Anomaly Detection) würde 
es dem System unter anderem 
auffallen, wenn plötzlich ein 
Netzwerkprotokoll benutzt wird, 
das vorher nicht im Einsatz war. 

Seit gut fünf Jahren bieten 
die Sicherheitshersteller zu- 
sätzlich Intrusion-Prevention- 
Lösungen. Ausgehend von der 
Intrusion Detection versucht 
eine solche Software, direkt 
den erkannten Angriff zu stop- 
pen. Um dies bewerkstelligen 
zu können, muss ein IPS die 
gerade stattfindende Attacke 
erkennen und vor ihrer Vollen- 
dung unterbinden. Im Gegen- 
satz zu einem klassischen IDS, 
das lediglich reaktiv Alarm- 
meldungen generiert, muss 
ein solches System proaktiv 
arbeiten. 


Klassifizierung der 
Intrusion Detection 


Im Allgemeinen lassen sich IDS 
in zwei Gruppen einteilen: in 
hostbasierte Systeme (Host In- 
trusion Detection System — 
HIDS) und in netzwerkbasierte 
Systeme (Network Intrusion De- 
tection System — NIDS). HIDS 
sind Systeme, die nur einen 


Rechner überwachen und vom 
Betriebssystem, den Anwendun- 
gen oder der Netzwerkverbin- 
dung erzeugte Daten auswer- 
ten. Eine solche Lösung muss 
also vor allem vom Betriebssys- 
tem unterstützt werden, und das 
stellt auch gleichzeitig den 
größten Nachteil eines HIDS dar: 
Ist das jeweilige Betriebssystem 
und damit der ganze Rechner 
selbst kompromittiert, kann der 
Angreifer auch das IDS manipu- 
lieren. Um Eindringlinge zu ent- 
decken, liest ein HIDS typi- 
scherweise die Log-Dateien 
des Betriebssystems sowie der 
Serversoftware (Mail-, Web-, 
Datenbankserver et cetera). 

Ein HIDS kann Angriffe er- 
kennen, die innerhalb von ver- 
netzten Systemen nicht einfach 
aufzudecken sind. Hostbasierte 
Systeme haben zudem Zugang 
zu detaillierten Daten über Sys- 
temprozesse, Ressourcenver- 
wendung und Geräteaktivität, 
die netzbasierten Sensoren feh- 
len. In einigen Fällen kann die 
Analyse dieser Daten die einzi- 
gen Indizien für einen Angriff lie- 
fern. Dies ist beispielsweise bei 
einem Einbruch durch einen In- 
sider der Fall. Wenn der Angrei- 
fer in demselben lokalen Netz- 
werk sitzt wie das Zielsystem, 
wird der Verkehr wahrscheinlich 
nicht über einen Sensor eines 
NIDS laufen. 

Ein NIDS bezieht seine Infor- 
mationen aus der Analyse von 
Netzwerkpaketen, die es übli- 
cherweise über einen Netzwerk- 
Sniffer, den sogenannten Sen- 
sor, erhält. Netzbasierte IDS 
sind vor allem geeignet, Angriffe 
und Einbrüche von außen zu er- 
kennen. Sofern ein interner 
Täter Rechner über Netzgrenzen 
hinaus angreift, kann dies ein 
NIDS ebenso aufdecken. Das 
System könnte beispielsweise 
überprüfen, ob zwischen dem 
Webserver und dem Datenbank- 
server tatsächlich ausschließlich 
SQL-Requests in Richtung Da- 
tenbankserver laufen. Die üb- 
lichen Angriffsmuster von Deni- 
al-of-Service-Attacken (DoS) 
oder Port-Scans lassen sich 


ebenso zuverlässig aufdecken. 
Auch Zugriffe auf typische Ports 
durch Rootkits, trojanische Pfer- 
de oder Backdoors sind leichte 
Beute für ein NIDS. 


Unterschiedliche 
Erkennungstechniken 


Ein weiteres Unterscheidungs- 
merkmal von Intrusion-Detec- 
tion-Systemen stellt die einge- 
setzte Technik beim Aufspüren 
von Unregelmäßigkeiten dar. 
Allerdings sind die Übergänge 
häufig fließend. Die Erkennung 
kann beispielsweise auf der 
Grundlage von Signaturen ge- 
schehen. Die dabei notwendi- 
gen Muster (Signaturen) liegen 
in einer Datenbank ähnlich einer 
Virensignatur und werden mit 
den zu überprüfenden Daten — 
beispielsweise beim Transport 
übers Netz — verglichen. Unbe- 
kannte Muster lassen sich auf 
diese Weise allerdings nicht als 
Angriff identifizieren. Aus die- 
sem Grund gibt es eine Anoma- 
lieerkennung. Das IDS lernt also 
erst mit der Zeit, welche Daten- 
ströme und Aktionen im Netz- 
werk „normal“ sind und schlägt 
Alarm, wenn ein Vorgang davon 
abweicht. Viele IDS nutzen 
beide Methoden. 

Die Konfiguration des Intru- 
sion-Detection- und -Prevention- 
Systems stellt Verantwortliche 
vor eine große Herausforderung. 
Sie müssen sehr sorgsam vor- 
gehen, um möglichst wenige 
Falschmeldungen zu generieren. 
Grundsätzlich gibt es zwei Mög- 
lichkeiten einer Falschmeldung: 
Ein falsch-positiver Alarm durch 
das System bezeichnet eine 
Meldung, die eigentlich keinen 
Alarm auslösen sollte — also der 
klassische Fehlalarm. Einzelne 
Meldungen sind zunächst recht 
harmlos, kommen sie aber häu- 
fig vor und sind nicht abschalt- 
bar, führt dies über kurz oder 
lang zu Desinteresse — und es 
werden auch echte Alarmmel- 
dungen übersehen. Während 
diese Fehlalarme in reinen IDS- 
Umgebungen zunächst nur lästig 
sind, hat in einer Intrusion- 
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Prevention-Umgebung die Blo- 
ckierreaktion des IPS auf einen 
Fehlalarm schlimme Folgen, da 
die Kommunikation unschuldi- 
ger Personen blockiert wird. 

Falsch-negativ benennt 
einen fehlenden Alarm durch 
das System, wenn eigentlich 
einer hätte ausgelöst werden 
müssen, da ein Einbruch statt- 
gefunden hat. Dies ist besonders 
kritisch, da es einem Angreifer 
nur einmal gelingen muss, eine 
Schwachstelle auszunutzen, um 
Zugang zu einem System zu be- 
kommen. Falschmeldungen 
können Verantwortliche nur 
durch sorgfältige Konfiguration, 
Kenntnis der überwachten Netze 
und Systeme sowie aufmerksa- 
me Analyse der auflaufenden 
Meldungen vermeiden. Sie soll- 
ten vor allem nach Änderungen 
in der Infrastruktur oder nach 
der Neuinstallation von Servern 
beziehungsweise Diensten die 
Konfiguration des IDS und IPS 
überprüfen und gegebenenfalls 
anpassen. 


Netzwerkbasierte 
Intrusion Prevention 


Unter dem Begriff NIPS sind 
eine Vielzahl unterschiedlicher 
Ansätze und Produkte vereint. 
Dazu gehören klassische IDS- 
Produkte, die bei einem im 
Netz erkannten Angriff automa- 
tisch versuchen, diesen zu 
blockieren, aber genauso Web- 
filter, die Angriffe auf Anwen- 
dungsebene durch eine Analyse 
aller Webseiten, Links, Formu- 
lare und Benutzereingaben im 
HTTP-Verkehr zu verhindern 
versuchen. Netzwerkbasierte 
IPS nutzen unter anderem die 
folgenden Techniken: 

— Beenden einer TCP-Session 
durch Reset-Pakete, 
—Blockade weiterer Kommuni- 
kation von der Quelladresse des 
Angriffs durch Einfügen ent- 
sprechender (temporärer) Regeln 
in Firewall-Systemen sowie 

— V/erwerfen der Pakete eines 
erkannten Angriffs im System, 
das den Datenverkehr als Proxy 
transportiert. 
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Wie bei allen automati- 
schen Reaktionen auf Angriffs- 
versuche halten auch diese 
Lösungen einige Herausforde- 
rungen bereit. Viele Angriffe 
beziehen nur wenige Pakete 
ein, oft passt der eigentliche 
Exploit in ein einziges Daten- 
paket. Die eigentliche Schad- 
software beziehungsweise die 
Kommunikation mit einem 
Einbrecher nutzt dann eine 
andere Verbindung, sodass 
das IPS diese häufig nicht als 
dem Angriff zugehörig klassifi- 
ziert. Das Beenden der An- 
griffsverbindung durch ein 
Reset-Paket hätte also keine 
Schutzwirkung. 

Das Problem dynamisch 
erstellter Firewall-Regeln ist, 
dass sie nicht schnell genug 
auf den Firewalls umgesetzt 
werden, da die Angriffe oft nur 
Bruchteile von Sekunden dau- 
ern. Bei der Auslastung von 
typischen Firewalls kann diese 
schnelle Umsetzung schwierig 
sein. Außerdem muss sicher- 
gestellt werden, dass ein An- 
greifer dieses Feature nicht zu 
einem Denial of Service be- 
nutzt, indem er Pakete, die 
eine Angriffssignatur enthal- 
ten, mit der Absender-IP eines 
gewünschten Kommunika- 
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Alle Hersteller propagieren in- 
zwischen ihre „Green IT“ — was 
sich aber häufig nur in bunten 
Anklebezetteln erschöpft. Wer 
es ernst meint mit Einsparun- 
gen beim Stromverbrauch der 
heutigen Server- und Storage- 
Systeme, muss sich auf die 


tionspartners versendet. Dieser 
wäre dann ungerechtfertigter- 
weise via Firewall-Regel blo- 
ckiert. Das Problem ist tech- 
nisch lösbar: Wenn das IPS vor 
dem Eingriff in die Kommuni- 
kation sämtliche TCP-Verbin- 
dungen überwachen würde, 
könnte es anhand der ausge- 
tauschten Sequenznummern 
erkennen, ob die Quelladresse 
eines Angriffs gefälscht ist. 
Diese Methode funktioniert 
allerdings nicht bei statusloser 
Kommunikation mit UDP. 

Zusätzlich zu den klassi- 
schen Reverse-Proxies gibt es 
IPS-Produkte, die nicht nur die 
HTTP-Ebene betrachten, son- 
dern die semantische Integrität 
jedes einzelnen Eingabefeldes 
in jeder Benutzermaske auf 
seine individuellen Beschrän- 
kungen hin prüfen. Attacken 
wie SQL-Injection und viele an- 
dere Angriffe auf Webanwen- 
dungen lassen sich damit blo- 
ckieren, bevor sie überhaupt 
zum Webserver gelangen. 


Hostbasierte 
Intrusion Prevention 
Hostbasierte Intrusion-Preven- 


tion-Systeme laufen üblicher- 
weise als Agenten auf Servern 


Suche nach den Gründen für die 
Explosion der Energiekosten 
machen. Modische Einsparun- 
gen bei CPU oder Lüftern sind 
nur begrenzt hilfreich, auch ins- 
gesamt kann im Rahmen der 
Produktion der IT-Komponenten 
nur ein bescheidener Beitrag 


und Desktops und kontrollieren 
alle Zugriffe auf Ressourcen 
von Anwendungen. Unerlaubte 
Zugriffe wie Schreibbefehle 
auf Systembibliotheken oder 
Registry-Einträge können sie 
direkt verhindern. Die Ent- 
scheidungsgrundlage, ob ein 
Zugriff erlaubt oder verboten 
ist, bildet eine Richtlinie, die 
entweder der Hersteller für 
gängige Anwendungen mitlie- 
fert oder die in einem Lernmo- 
dus (halb)automatisiert erstellt 
werden kann. Da eine zu um- 
fangreiche und komplexe 
Richtlinie in der Praxis sehr 
schwer zu warten ist und häu- 
fig zu Problemen führt, ver- 
wendet man oft nur sehr einfa- 
che. Mit wenigen Regeln lässt 
sich beispielsweise verhin- 
dern, dass ein Netzwerkdienst 
(wie Web- oder Mailserver) 
weitere externe Programme 
startet. Während ein klassi- 
sches HIDS nur Alarm schlägt, 
kann das hostbasierte IPS 
direkt auf dem System uner- 
wünschte Zugriffe auf System- 
ressourcen und damit unter 
Umständen einen Schaden 
verhindern. 
Wilhelm Dolle 
ist Sicherheitsberater bei der 
HiSolutions AG in Berlin. 
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zur Energieeinsparung geleistet 
werden. Interessanter wird es 
allerdings, wenn man die ge- 
samte Infrastruktur des Re- 
chenzentrums mit einbezieht. 
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